## 18.5 分析登錄文件 登錄文件的分析是很重要的！你可以自行以 vim 或者是 journalctl 進入登錄文件去查閱相關的信息。而系統也提供一些軟件可以讓你從登錄文件中取得數據， 例如之前談過的 last, lastlog, dmesg 等等指令。不過，這些數據畢竟都非常的分散，如果你想要一口氣讀取所有的登錄信息， 其實有點困擾的。不過，好在 CentOS 有提供 logwatch 這個登錄文件分析程序，你可以借由該程序來了解登錄文件信息。 此外，鳥哥也依據 Red Hat 系統的 journalctl 搭配 syslog 函數寫了一支小程序給大家使用喔！ ### 18.5.1 CentOS 默認提供的 logwatch 雖然有一些有用的系統指令，不過，要了解系統的狀態，還是得要分析整個登錄文件才行～ 事實上，目前已經有相當多的登錄文件分析工具，例如 CentOS 7.x 上面默認的 logwatch 這個套件所提供的分析工具， 他會每天分析一次登錄文件，并且將數據以 email 的格式寄送給 root 呢！ 你也可以直接到 logwatch 的官方網站上面看看： * [http://www.logwatch.org/](http://www.logwatch.org/) 不過在我們的安裝方式里面，默認并沒有安裝 logwatch 就是了！所以，我們先來安裝一下 logwatch 這套軟件再說。假設你已經將 CentOS 7.1 的原版光盤掛載在 /mnt 當中了，那使用下面的方式來處理即可： ``` [root@study ~]# yum install /mnt/Packages/perl-5.*.rpm > /mnt/Packages/perl-Date-Manip-*.rpm \ > /mnt/Packages/perl-Sys-CPU-*.rpm \ > /mnt/Packages/perl-Sys-MemInfo-*.rpm \ > /mnt/Packages/logwatch-*.rpm # 得要安裝數個軟件才能夠順利的安裝好 logwatch 喔！當然，如果你有網絡，直接安裝就好了！ [root@study ~]# ll /etc/cron.daily/0logwatch -rwxr-xr-x. 1 root root 434 Jun 10 2014 /etc/cron.daily/0logwatch [root@study ~]# /etc/cron.daily/0logwatch ``` 安裝完畢以后，logwatch 就已經寫入 cron 的運行當中了！詳細的執行方式你可以參考上表中 0logwatch 文件內容來處理，未來則每天會送出一封 email 給 root 查閱就是了。因為我們剛剛安裝，那可以來分析一下嗎？很簡單啦！你就直接執行 0logwatch 即可啊！如上表最后一個指令的示意。因為鳥哥的測試機目前的服務很少， 所以產生的信息量也不多，因此執行的速度很快。比較忙的系統信息量比較大，分析過程會花去一小段時間。如果順利執行完畢，那請用 root 的身份去讀一下 email 啰！ ``` [root@study ~]# mail Heirloom Mail version 12.5 7/5/10\. Type ? for help. "/var/spool/mail/root": 5 messages 2 new 4 unread >N 4 root Thu Jul 30 19:35 29/763 "testing at job" N 5 logwatch@study.cento Thu Aug 20 17:55 97/3045 "Logwatch for study.centos.vbird （Linux）" & 5 Message 5: From root@study.centos.vbird Thu Aug 20 17:55:23 2015 Return-Path: <root@study.centos.vbird> X-Original-To: root Delivered-To: root@study.centos.vbird To: root@study.centos.vbird From: logwatch@study.centos.vbird Subject: Logwatch for study.centos.vbird （Linux） Auto-Submitted: auto-generated Precedence: bulk Content-Type: text/plain; charset="iso-8859-1" Date: Thu, 20 Aug 2015 17:55:23 +0800 （CST） Status: R # logwatch 會先說明分析的時間與 logwatch 版本等等信息 ################### Logwatch 7.4.0 （03/01/11） #################### Processing Initiated: Thu Aug 20 17:55:23 2015 Date Range Processed: yesterday （ 2015-Aug-19 ） Period is day. Detail Level of Output: 0 Type of Output/Format: mail / text Logfiles for Host: study.centos.vbird ################################################################## # 開始一項一項的數據進行分析！分析得很有道理啊！ --------------------- pam_unix Begin ------------------------ su-l: Sessions Opened: dmtsai -> root: 2 Time（s） ---------------------- pam_unix End ------------------------- --------------------- Postfix Begin ------------------------ 894 Bytes accepted 894 894 Bytes delivered 894 ======== ================================================== 2 Accepted 100.00% -------- -------------------------------------------------- 2 Total 100.00% ======== ================================================== 2 Removed from queue 2 Delivered ---------------------- Postfix End ------------------------- --------------------- SSHD Begin ------------------------ Users logging in through sshd: dmtsai: 192.168.1.200: 2 times Received disconnect: 11: disconnected by user : 1 Time（s） ---------------------- SSHD End ------------------------- --------------------- Sudo （secure-log） Begin ------------------------ dmtsai => root -------------- /bin/su - 2 Time（s）. ---------------------- Sudo （secure-log） End ------------------------- # 當然也得說明一下目前系統的磁盤使用狀態喔！ --------------------- Disk Space Begin ------------------------ Filesystem Size Used Avail Use% Mounted on /dev/mapper/centos-root 10G 3.7G 6.3G 37% / devtmpfs 1.4G 0 1.4G 0% /dev /dev/vda2 1014M 141M 874M 14% /boot /dev/vda4 1014M 33M 982M 4% /srv/myproject /dev/mapper/centos-home 5.0G 642M 4.4G 13% /home /dev/mapper/raidvg-raidlv 1.5G 33M 1.5G 3% /srv/raidlvm ---------------------- Disk Space End ------------------------- ``` 由于鳥哥的測試用主機尚未啟動許多服務，所以分析的項目很少。若你的系統已經啟動許多服務的話， 那么分析的項目理應會多很多才對。 ### 18.5.2 鳥哥自己寫的登錄文件分析工具： 雖然已經有了類似 logwatch 的工具，但是鳥哥自己想要分析的數據畢竟與對方不同～所以啰，鳥哥就自己寫了一支小程序 （shell script 的語法） 用來分析自己的登錄文件，這支程序分析的登錄文件主要由 journalctl 所產生，而且只會抓前一天的登錄文件來分析而已～ 若比對 rsyslog.service 所產生的登錄文件，則主要用到下面幾個對應的文件名 （雖然真的沒用到！ ^_^）： * /var/log/secure * /var/log/messages * /var/log/maillog 當然啦，還不只這些啦，包括各個主要常見的服務，如 pop3, mail, ftp, su 等會使用到 pam 的服務， 都可以通過鳥哥寫的這個小程序來分析與處理呢～整個數據還會輸出一些系統信息。如果你想要使用這個程序的話， 歡迎下載： * [http://linux.vbird.org//linux_basic/0570syslog//logfile_centos7.tar.gz](http://linux.vbird.org//linux_basic/0570syslog//logfile_centos7.tar.gz) 安裝的方法也很簡單，你只要將上述的文件在根目錄下面解壓縮，自然就會將 cron 調度與相對應的文件放到正確的目錄去。 基本上鳥哥會用到的目錄有 /etc/cron.d 以及 /root/bin/logfile 而已！鳥哥已經寫了一個 crontab 在文件中，設置每日 00:10 去分析一次系統登錄文件。 不過請注意，這次鳥哥使用的登錄文件真的是來自于 journalctl ，所以 CentOS 6 以前的版本千萬不要使用喔！現在假設我將下載的文件放在跟目錄，所以： ``` [root@study ~]# tar -zxvf /logfile_centos7.tar.gz -C / [root@study ~]# cat /etc/cron.d/vbirdlogfile 10 0 * * * root /bin/bash /root/bin/logfile/logfile.sh &> /dev/null [root@study ~]# sh /root/bin/logfile/logfile.sh # 開始嘗試分析系統的登錄文件，依據你的登錄文件大小，分析的時間不固定！ [root@study ~]# mail # 自己找到剛剛輸出的結果，該結果的輸出有點像下面這樣： Heirloom Mail version 12.5 7/5/10\. Type ? for help. "/var/spool/mail/root": 9 messages 4 new 7 unread N 8 root Thu Aug 20 19:26 60/2653 "study.centos.vbird logfile analysis results" >N 9 root Thu Aug 20 19:37 59/2612 "study.centos.vbird logfile analysis results" & 9 # 先看看你的硬件與操作系統的相關情況，尤其是 partition 的使用量更需要隨時注意！ =============== system summary ================================= Linux kernel : Linux version 3.10.0-229.el7.x86_64 （builder@kbuilder.dev.centos.org） CPU informatin: 2 Intel（R） Xeon（R） CPU E5-2650 v3 @ 2.30GHz CPU speed : 2299.996 MHz hostname is : study.centos.vbird Network IP : 192.168.1.100 Check time : 2015/August/20 19:37:25 （ Thursday ） Summary date : Aug 20 Up times : 3 days, 59 min, Filesystem summary: Filesystem Type Size Used Avail Use% Mounted on /dev/mapper/centos-root xfs 10G 3.7G 6.3G 37% / devtmpfs devtmpfs 1.4G 0 1.4G 0% /dev tmpfs tmpfs 1.4G 48K 1.4G 1% /dev/shm tmpfs tmpfs 1.4G 8.7M 1.4G 1% /run tmpfs tmpfs 1.4G 0 1.4G 0% /sys/fs/cgroup /dev/vda2 xfs 1014M 141M 874M 14% /boot /dev/vda4 xfs 1014M 33M 982M 4% /srv/myproject /dev/mapper/centos-home xfs 5.0G 642M 4.4G 13% /home /dev/mapper/raidvg-raidlv xfs 1.5G 33M 1.5G 3% /srv/raidlvm /dev/sr0 iso9660 7.1G 7.1G 0 100% /mnt # 這個程序會將針對 internet 與內部監聽的端口分開來顯示！ ================= Ports 的相關分析信息 ======================= 主機啟用的 port 與相關的 process owner： 對外部接口開放的 ports （PID|owner|command） tcp 21|（root）|/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf tcp 22|（root）|/usr/sbin/sshd -D tcp 25|（root）|/usr/libexec/postfix/master -w tcp 222|（root）|/usr/sbin/sshd -f /etc/ssh/sshd2_config -D tcp 514|（root）|/usr/sbin/rsyslogd -n tcp 555|（root）|/usr/sbin/vsftpd /etc/vsftpd/vsftpd2.conf # 以下針對有啟動的服務個別進行分析！ ================= SSH 的登錄文件信息匯整 ======================= 今日沒有使用 SSH 的紀錄 ================= Postfix 的登錄文件信息匯整 =================== 使用者信箱受信次數： ``` 目前鳥哥都是通過這支程序去分析自己管理的主機，然后再據以了解系統狀況，如果有特殊狀況則實時進行系統處理！ 而且鳥哥都是將上述的 email 調整成自己可以在 Internet 上面讀到的郵件，這樣我每天都可以收到正確的登錄文件分析信息哩！